Degate è un progetto open source di Martin Schobert, rilasciato sotto licenza GPLv3, per il reverse engineering del software integrato nei chip utilizzati sulle comuni smart card. È, in sostanza, un’applicazione per emulare il tracciato delle celle fotografate al microscopio elettronico. Aiuta a identificare i problemi di sicurezza.
Non si tratta di uno strumento completamente automatico: Degate, peraltro, sottintende avanzate competenze specifiche nello sviluppo dei circuiti integrati. Al solito, in questo genere di applicazioni, l’utilizzo è ambivalente: può servire per eludere la sicurezza e realizzare, ad esempio, un clone delle smart card dei set-top box.
L’intento è quello di coadiuvare la ricostruzione della mappatura dei chip per disporre un attacco e prevenirlo. Il limite tra hardware e software, nella circostanza, è molto sottile: con le dovute conoscenze si possono identificare le falle di sicurezza e la crittografia dall’aspetto delle celle. Degate assiste in questo processo.
Via | The H Open
Non è più possibile accedere a LinuxFoundation.org, Linux.com e sotto domini per una manutenzione generale di sicurezza dopo gli attacchi portati a Kernel.org il 28 agosto.
Linux Foundation ha preso la decisione di rimuovere momentaneamente tutti i siti e sotto domini per avere l’opportunità di fare una revisione approfondita sulla sicurezza dell’intero sistema dopo l’attacco dei hacker all’archivio linux di Kernel.org, chiedendo scusa dell’inconveniente che si protrarranno per alcuni giorni. Linux Foundation chiede a tutti di cambiare le proprie password d’accesso ai vari servizi e progetti della comunità, come viene fatto sempre in queste circostanze per la propria sicurezza e per la sicurezza dell’intero sistema.
Una veloce traduzione fatta da me dell’annuncio di Linux Foundation:
Stiamo ripristinando il servizio per riportarlo in sicurezza nel più breve tempo possibile. Come al solito, in occasione di episodi di intrusione, dovete considerare compromesse le password e SSH che avete usato in questi siti. Se avete usato queste password in altri siti, per favore cambiatele immediatamente. In questo momento stiamo revisionando l’intero sistema e quando avremo maggiori informazioni aggiorneremo questo annuncio.
Ci scusiamo dell’inconveniente. Stiamo prendendo la cosa seriamente e apprezziamo la vostra pazienza. Sono coinvolti l’infrastruttura principale di Linux Foundation, vari servizi e programmi tra i quali Linux.com, Open Printing, Linux Mark e altro, ma esclusi invece i repositeries del kernel Linux o dei suoi codici.
Kernel.org rimane offline dopo l’attacco che lo ha compromesso il 28 agosto.
Via | ZDNet
OpenTTD, una versione open source di Transport Tycoon Deluxe, include da tempo delle falle di sicurezza che potrebbero permettere l’esecuzione di codice da remoto ai malintenzionati: il prossimo aggiornamento del gioco dovrebbe risolvere definitivamente il problema. I pericoli consistono in Denial of Service (DoS) e buffer overflow.
Nello specifico, il primo problema riguarda la convalida di alcuni dei comandi del gioco che potrebbero mandare in crash l’applicazione ed esporre il sistema alle infiltrazioni. Gli altri due coinvolgono, invece, la fase di salvataggio delle partite: i dati presenti sul file system di sistema non risultavano adeguatamente protetti.
Se siete degli appassionati del gioco di MicroProse del 1995 e siete soliti giocare con gli amici in rete, potete “proteggervi” immediatamente aggiornando OpenTTD su Linux, Windows o Mac OS X: la prima Release Candidate (RC) include già i bug fix che caratterizzeranno il rilascio definitivo di OpenTTD 1.1.3. È un gioco senza tempo.
Via | The H Online
Settimana scorsa un attacco a DigiNotar, un’autorità certificativa olandese, ha esposto gli utenti di Google alla lettura della corrispondenza personale da parte di malintenzionati. La compromissione dei certificati è stata perpetrata dall’Iran: Tor, con la collaborazione del governo olandese, ha pubblicato i dettagli dell’accaduto.
In particolare oltre a DigiNotar (già “declassata” da Mozilla e Google tra le autorità untrusted) compaiono Koninklijke Notariele Beroepsorganisatie e Stichting TTP Infos. Tor ha rilasciato nei giorni scorsi un aggiornamento provvisto d’una serie di patch fornite da Mozilla per escluderle dai sorgenti quando s’utilizzasse Firefox.
Non manca una curiosità legata ai domini fittizi, specificati nei certificati fasulli. Ad esempio, alcuni sono risultati essere delle frasi auto-celebrative dell’hacker in persiano: «great cracker», «I will crack all encryption», «I break your head» per la traduzione inglese di un madrelingua. Il pericolo dovrebbe essere rientrato.
Via | Tor
Ubuntu è esposto all’esecuzione di codice arbitrario a causa di falle presenti in WebKit e JavaScript. Il pericolo riguarda essenzialmente Maverick Meerkat e Lucid Lynx: sono ventidue le vulnerabilità riscontrate. Browser e applicazioni che utilizzano WebKit possono esporre ad attacchi, del tipo Distrubuted Denial of Service (DDoS).
Natty Narwhal, ovvero l’ultimo rilascio stabile di Ubuntu, ha incontrato invece dei problemi legati a eCryptfs: il file system utilizzato per la crittografia della cartella-utente. Pure in questo caso il pericolo è quello d’esporre il sistema a DDoS. Con Ubuntu 11.04 sono vulnerabili Lucid e Maverick. L’aggiornamento è consigliato.
Ubuntu 10.04 è l’ultima Long Term Support (LTS) e perciò l’aggiornamento in ambiente server è particolarmente importante: chi avesse già predisposto, in fase d’installazione oppure da Synaptic, l’installazione automatica degli aggiornamenti di sicurezza è già protetto. Idem per Maverick e Natty, anche se si trattasse di un desktop.
Via | ZDNet
La politica di rilascio dei kernel supportati a lungo termine di Linux potrebbe cambiare al più presto, ammesso che la proposta di Greg Kroah-Hartman sia accettata. L’ultima versione con questa caratteristica è Linux 2.6.32, tuttavia non si tratta d’un problema legato alla numerazione. Le distribuzioni adesso hanno esigenze diverse.
Occorre sottolineare che Kroah-Hartman si riferisce all’ultimo kernel aggiornato, tra i rilasci a lungo termine, e non alla versione più elevata: pure Linux 2.6.27 e fino a 2.6.35 è attualmente considerato “longterm”. Il problema è proprio questo: non ha senso mantenere addirittura cinque rilasci a lungo termine contemporaneamente.
La riforma proposta da Kroah-Hartman (che per intenderci lavora in Novell) riprende a grandi linee la politica di Canonical sulle distribuzioni con supporto a lungo termine. Un kernel di tipo longterm ogni anno, supportato per due. Inoltre, l’archivio dei kernel di Linux andrebbe rivisto per evidenziare le differenza tra i rilasci.
Via | Google+
HTTPS Everywhere 1.0 è la prima versione ufficiale dell’estensione per navigare in sicurezza con Firefox sfruttando, appunto, il protocollo HyperText Transfer Protocol Secure (HTTPS). L’inizio dello sviluppo per l’add-on risale a più di un anno fa. Nel frattempo, Electronic Frontier Foundation e The Tor Project hanno unito le forze.
La collaborazione è cominciata proprio con HTTPS Everywhere toccando aspetti come la revoca dei certificati d’autenticità SSL/TLS dei domini. Esistono altri aspetti che legano le due organizzazioni: il fingerprinting dei browser sul quale Tor ha molto da dire, ad esempio. In futuro potrebbero esserci altre convergenze interessanti.
L’EFF mantiene anche un indice dei siti in HTTPS, grazie al contributo degli utenti: HTTPS Everywhere è limitato a Firefox e Tor ha già espresso delle perplessità sul browser di Mozilla, riguardo a Torbutton, e non è esclusa la possibilità di un fork del browser. In ogni caso HTTPS Everywhere 1.0 è abbastanza maturo per l’adozione.
Via | ReadWriteWeb
Microsft ha aperto alla comunità i sorgenti per compilare la tecnologia utilizzata dalle automobili aziendali nel raccogliere le informazioni da WiFi, GPS e GSM. Si tratta del tracciamento utile a Windows Phone per migliorare il servizio di localizzazione via internet. Lo stesso disattivato sui cellulari a partire dal mese di marzo.
Delle soluzioni equivalenti sono previste sulle automobili di Google per raccogliere i dati di StreetView. La tecnologia di Microsoft dovrebbe essere quella utilizzata per Streetside di Bing. Il tracciamento via cellulare è stato disattivato a seguito delle polemiche sulla privacy indirizzate ad Android e iOS oltre a Windows Phone.
La decisione di fornire il codice sorgente è motivata dalla possibilità di realizzare delle applicazioni per il controllo della propria privacy. Apple e Google non distribuiscono le risorse utilizzate per censire i punti d’accesso. È opinabile quanto possa essere “utile” il software, tuttavia la scelta di Microsoft è da applaudire.
Via | CNET News
Mercoledì scorso si è tenuto il World IPv6 Day, una giornata istituita dall’Internet Society per mettere alla prova la nuova versione del protocollo di internet. Tor ha aderito all’iniziativa, rendendo disponibile il proprio sito alle connessioni di tipo IPv6. La novità prelude all’aggiornamento del software per l’anonimato in rete.
Per il momento, Tor è accessibile esclusivamente via IPv4: l’idea è quella di predisporre l’adeguamento all’IPv6 prima che quest’ultimo rimpiazzi il protocollo attuale, affinché Tor continui a funzionare senza problemi. Nick Mathewson ha steso una prima bozza di lavoro in marzo. Ha spiegato con un intervento come intende procedere.
L’aggiornamento di Tor per un pieno supporto al protocollo IPv6 è più difficile di quanto si possa pensare. Se le connessioni ibride che sfruttano il tunneling su IPv4 non comportano particolari problemi, i router con solo IPv6 richiedono un lavoro più elaborato. In previsione dello switch, si pensa alla gestione delle exit policy.
Via | Tor
Torbutton, l’estensione per abilitare selettivamente l’anonimato di Tor su Firefox, è stata messo in discussione dagli stessi sviluppatori e sarà presto rimosso dai server di Mozilla. Continuerà a essere presente nei bundle per Linux, OS X e Windows, benché il suo utilizzo sia fortemente scoraggiato. Le ragioni sono molte e diverse.
Anzitutto Torbutton richiede un’installazione di Tor già presente e configurata sul sistema e ciò potrebbe disorientare gli utenti meno esperti: alcuni sono portati a pensare che Torbutton funzioni a sé. Poi il private browsing e i profili multipli introdotti dai browser (non soltanto da Firefox) rendono Torbutton controproducente.
In attesa di trovare una nuova collocazione per Torbutton, Mike Perry suggerisce di disabilitare l’estensione e affidarsi in esclusiva alla configurazione di Tor su Vidalia. Lo sviluppo si orienterà a una diversa interfaccia-utente e al supporto di altri browser, ad esempio Google Chrome. Le estensioni installate funzionano ancora.
Via | Tor
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
